Информационная безопасность на Новосибирском Заводе ХимКонцентратов

31 Май 2009
12,002
22
38
62
Салехард
#1
Многа букв, тупо скопипастил с http://habrahabr.ru/blogs/infosecurity/108464/



ИБ на Новосибирском Заводе ХимКонцентратов (производство ядерного топлива)

На форуме на 3DNews некто, представившийся как инженер Новосибирского Завода ХимКонцентратов («РосАтом») описывает устройсво произодства. Позволил себе копи-пэйст, не обессудьте…

Так, друзья, хохочущие и неверящие. Давайте знакомиться: инженер группы поддержки программных средств цехов основного производства по производству ТТ (Топливных Таблеток), ТВЭЛ (Тепло-Выделяющих ЭЛементов) и ТВС (Топливно-Выделяющих Сборок) Новосибирского Завода ХимКонцентратов, входящего в структуру ОАО ТВЭЛ и в Госкорпорацию «РосАтом». По простому — эти цеха производят весь техпроцесс, начиная от получения порошка диоксида урана до упаковки и отправки потребителям готовой продукции. А я в них обслуживаю технику и АСУТП.

Итак, друзья, вот вам факты:
I. Разработка:
1) Новые автоматизированные линии по сборке ТВЭЛ работают именно под управлением WinСС под Windows.
2) Я их только обслуживаю — разрабатывали «всем миром», т.е. различные цеха, лаборатории и отделы нашего завода, различные НИИ Новосибирского Академгородка, Томска и Москвы, коллеги с других заводов, входящих в ГК «РосАтом», а также приглашенные «варяги-аутсорсеры».
3) Унификация минимальна и лишь между ЛСУ (локальными системами управления, сиречь установками) и «верхним уровнем», сиречь АСУТП, есть набор алгоритмов взаимодействия, кривенький такой.
4) ВСЕ ЛСУ отличаются друг от друга как интерфейсно, так и по выбранному «железу». И построены на куче систем от того же Step 5/7 до С++.
5) Кто на чем научился кодить, тот на том и писал. Если «старшему программисту» скоро на пенсию, у него внуки и дача — чего вы от него ждете, скорейшего освоения .NET и C#?
6) Разрабатывая проект на своей WinXP с админскими правами, задумался ли хоть кто-нибудь о модели безопасности, хотя бы использовать стандартные виндовские ограничения прав пользователя? Нет — неудобно же.
7) При этом каждый «разработчик» пытался урвать свою долю от внедрежа, а стоимость линий уже перевалила за миллиард. И сделать на чем-то непохожем на остальное — это значит получить баблос «за новизну», даже если это сделано на FoxPro 2.6 для MS-DOS (такое тоже есть, да-да).

II. Эксплуатация в сети:
1) На клиентских компьютерах — WinXP, на серверах — Win2003.
2) Везде настроены автологоны, ибо разработчикам вломы было перелогиниться на этапе «настройки», да так и закрепилось.
3) Все эти ПК соединены в сеть с доменом, в которой кроме данных технологических ПК находятся и другие, с других участков, управляющие другими контроллерами/процессами.
4) Доменный пользователь, под которым работает проект, обладает правами локального администратора на ВСЕХ ПК.
5) И НА СЕРВЕРАХ ТОЖЕ — для вашего удобства.
6) На всех ПК, ВКЛЮЧАЯ СЕРВЕРА, установлен RAdmin для удобства. И Viewer для еще большего удобства. Зацикленные экраны — обычное дело.
7) Стандартный виндовый терминал и RDS тоже доступны без ограничений. Сервера тоже в деле.
8) Пароль на Radmin состоит из названия соответствующего продукта Siemens.
9) Пароль к настройкам проекта состоит из русского слова, записанного английскими буквами (недлинного).
10) На каждом ПК лежит бумажка с табельными номерами и паролями работников и контролеров, чтобы не беспокоить людей по мелочам.
11) USB и DVD никак не защищены — вставляй что хочешь. Авторан не отключен.
12) Проект запускается из обычной виндовой шары. Порушить проект может каждый, освоивший удаление файлов в винде.

III. Обслуживание:
1) До недавнего времени (конкретно — до осени прошлого года) на ПК и серверах не было антивирусной защиты. Совсем. Потому что разработчикам казалось, что антивирус мешает работе столь RT-требовательной системы.
2) После занесения и лавинообразного распространения kido примерно через пару недель опомнились. И в течении еще двух месяцев(!) поставили везде KAV 6.0. Ибо именно его закупили те, кому положено закупать ПО (повторяю: осень 2009).
3) При этом довольно часто возникают ситуации, когда что-либо не работает, то приглашенный разработчик просто восстанавливает систему из образа, где антивируса нет (сохранил себе когда-то на флешку) и эпопея с kido начинается по новой.
4) Разработчик не считает нужным уведомлять, а тем более спрашивать об этом нас.
5) Предполагаемые по проекту кластеры технологических и серверов УБД не используются ввиду сложности настройки и отсутствия соответствующих специалистов, используется один сервер. Резерв лишь «холодный».
6) За лицензии WinCC отданы огромные бабки, что не решило проблем с багами (версия 6), ибо переход на 7 стоит тоже не мало, а ведь «уже уплочено». При этом на всех — и ПК, и серверах, WinCC постоянно ругается на отсутствие лицензии. Видать, «варяги» призажали. Nobody cares — не саботирует работу, и то ладно. Окошко убирается в сторону и все.
7) Документация. Где-то она есть. Но нам ее почему-то передать забыли. И все время (уже несколько лет эксплуатации) обещают «посмотреть и переслать».
8) Сервер виндовых обновлений затух несколько лет назад. Критические (типа от kido) обновляются вручную, остальное — никак.

VI. Общие факты:
1) Обучение не проводится — экономия средств и одновременно попытка удержать персонал, который десяток лет назад взял за моду обучаться, получать сертификаты, а потом сваливать в более хлебные места. Теперь обучения нет совсем. Никакого.
2) Больше всего денег ушло на распил, на саму систему, даже с переоцененными железом и софтом можно было потратить раз в семь меньше. Или в десять — это самая коммерческая из всех тайн.
3) Железо было закуплено сильно заранее, и к моменту начала эксплуатации(!) устарело. Так же как и софт. Сейчас уже вовсю сыпятся HDD.
4) Когда линии были подписаны в опытную эксплуатацию, их детали не были еще даже распакованы из ящиков, в которых приходили с разных мест России.
5) Когда линии были подписаны в промышленную эксплуатацию, они еще даже не были собраны.
6) Когда закончился период сервисного обслуживания «варягов», линии еще не начинали эксплуатироваться. Так, отдельные блоки могли демонстрировать что-то вроде автономной работы. Это не помешало принимать всяких Путиных, Ивановых, Олениных и Зюгановых(!), им показывали работу «линии» в начале цикла, а в тот момент, когда высокие гости удалялись «откушать» или на «митинг», подменяли болванками, сделанными на старом советском оборудовании в другом месте.
7) Кстати, во время визитов «высоких гостей» подменяли и персонал, чтобы чумазые работники не невировали гостей и не дай бог высказали случайно лишнего. Прибывшие на выручку были как один (одна) моделями в белоснежных балахонах, но о работе линий не имели не малейшего понятия. Зато картинка для новостей.
8) Сейчас «варяги» готовы устранить выявленные недостатки (работа для опытной эксплуатации и сервисного обслуживания), но за очень хорошее бабло. Которого нет.
9) За время «внедрения» линий завод сменил 3-х гендиректоров и уйму замов по производству, как «не справившихся». Но они не в обиде — таких денег пра-пра-пра-пра-правнукам хватит.

Для тех, кто уже забыл начало текста — мы производим ядерное топлииво. В том числе для иранского Бушера.
 

VSedoi

Заблокирован
1 Дек 2009
1,608
0
36
#3
бред полный (чеж он еще и фамилию не написал:ROFL:)
на данном предприятии его давно нагнули (раком)бы за такую инфу
 
#4
Могу сказать одно писал дебил не думающий о своём будущем....

Все что относится к ядерному производству это гостайна.
Уголовная ответственность за преступления в сфере защиты государственной тайны предусмотрена ст. 275, 283, 284 гл. 29 Уголовного кодекса РФ.
Согласно ст. 275 УК РФ, выдача гражданином РФ государственной тайны иностранному государству, иностранной организации или их представителям наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработанной платы или иного дохода осужденного за период до трех лет либо без такового.
Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, без признаков государственной измены в соответствии со ст. 283 УК РФ наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет (в случае тяжких последствий — до семи лет) с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.